Magyar idő szerint délelőtt „közepes, megfigyelés alatt” volt a besorolás, majd néhány óra múlva a szakértők új közleménye szerint azért lett “magas” veszélyességi kategóriájú, mert előfordulási gyakorisága az utóbbi huszonnégy órában tovább nőtt. A W32/Bugbear.b@MM féregvírust 2003 június 4-én fedezték fel először, és a ma kiadott 4270-es DAT fájl már kezeli. A teljes védelmet a hamarosan megjelenő EXTRA.DAT fájl tartalmazza majd.
A W32/Bugbear.b@MM komplex, több komponenst tartalmazó vírus, e-mailen és helyi hálózaton keresztül is terjeszti magát, hamis feladót feltüntetve. A többek között:
-Mass-mailer (tömeges postázó)
-Keylogger (leütésrögzítő)
-Remote Access Trojan (távoli hozzáfárás trójai)
-Polymorphic Parasitic File Infector (polimorf élősdi állományfertőző)
-Security Software Terminator (biztonsági szoftver kiirtó)
funkciókat tartalmaz.
A vírus a fertőzött gépen található DBX, EML, INBOX, MBX, MMF, NCH, ODS és TBB kiterjesztésű fájlokból, mind a címzett, mind a feladó mezőkből összegyűjtött e-mail címekre küldi magát tovább.
Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:
Bár a vírus kódja tartalmaz témasorokat és csatolt állomány neveket, az eredeti variáns tipikusan a vírusban nem szereplő adatokat használt ezekre a célokra. Ezért valószínűsíthetőbb a fertőzött rendszeren található szavak és fájlnevek előfordulása mindkét helyen. Mindemellett a lehetséges témasorok között szerepelhetnek például az alábbiak:
-25 merchants and rising
-Announcement
-bad news
-CALL FOR INFORMATION!
-click on this!
-Correction of errors
-Cows
-Daily Email Reminder
-empty account
-fantastic
-free shipping!
-Get 8 FREE issues – no risk!
-Get a FREE gift!
-Greets!
-Hello!
-Hi!
Az e-mail szövege és a csatolt állomány neve többnyire szintén a fertőzött rendszeren található szövegekből és fájlnevekből áll, ám számos valószínű példa létezik:
-Card
-Docs
-image
-images
-music
-news
-photo
-pics
-readme
-resume
-Setup
-song
-video
A csatolt állomány kiterjesztése EXE, PIF vagy SCR.
További lehetőség, hogy a vírus a registry-ben a
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal kulcsban tárolt személyes mappából választ fájlnevet. Gyakori a kettős kiterjesztés is, például ie.doc.pif. A vírus a „MIME Header Can Cause IE to Execute E-mail Attachment”, az MS01-020 számon nyilvántartott sebezhetőséget használja ki a Microsoft Internet Explorer 5.01-es vagy 5.5-ös, SP2 nélküli verzióiban. Az átjárókat figyelő szkennerek ezért „Exploit-MIME.gen.” vagy „Exploit-MIME.gen.exe” néven azonosítják, a 4213-as vagy magasabb verziójú DAT fájl alapján.
A vírus működésbelépésekor a START UP mappába másolja magát véletlenszerű fájlnéven, mint például:
Win98 : C:WINDOWSStart MenuProgramsStartupBSFS.EXE
2kPro: C:Documents and Settings(username)Start MenuProgramsStartup BSFS.EXE
Hálózati terjedés:
A vírus megkísérli a hálózathoz kapcsolódó gépek START UP mappáiba másolni magát a fent leírt módon.
Keylog-funkció
A vírus véletlenszerűen elnevezett DLL-t telepít a SYSTEM (%sysdir%) mappába a begépelt adatok elfogására. Két másik, szintén véletlenszerűen elnevezett fájl tartalmazza az elfogott információt, kódolt formában.
Trójai komponens:
A vírus az 1080-as TCP portot figyeli, hozzáférést engedve a fertőzőtt rendszerhez.
Fájlfertőzés:
A vírus megpróbál megfertőzni számos EXE állományt a PROGRAM FÁJLOK mappához tartozó
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir registry kulcs alapján, valamint az alábbi fájlokat:
hh.exe
mplayer.exe
notepad.exe
regedit.exe
scandskw.exe
winhelp.exe
ACDSee32ACDSee32.exe
AdobeAcrobat 4.0ReaderAcroRd32.exe
adobeacrobat5.0readeracrord32.exe
AIM95aim.exe
CuteFTPcutftp32.exe
(stb)
A vírus kódja tartalmaz továbbá egy hosszú, domain nevekből álló listát az email-hamisítás céljára.
A teljes listák és további információ a http://vil.nai.com/vil/content/v_100358.htm címen elérhetőek.
Amennyiben az ön gépét megfertőzte a W32/Bugbear.b@MM, küldjön mintát a http://www.webimmune.net címre!
További információ az AVERT javaslatairól és a kockázatfelmérésről: http://www.mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk assessment.asp
Az AVERT Kutató Központról:
A McAfee AVERT (Anti-Virus Emergency Response Team) a világ egyik vezető vírusirtó kutatószervezete, mely 16 országban foglalkoztat kutatókat. Alapvető feladata a számítógéphasználók és a Network Associates ügyfelek támogatása. A legújabb fenyegetések kutatásával elősegíti, hogy a felhasználók nagyobb biztonságban dolgozhassanak. Az AVERT célja nem a félelemkeltés, hanem a tanácsadás és a figyelemfelhívás.
A McAfee Security-ről:
A McAfee Security a Network Associates üzletága, amely a vállalatokat biztonsági rések, vírustámadások és vegyes fenyegetések ellen védi. A McAfee Security átfogó hálózati védelmet kínál vírusirtó, kódolási, desktop tűzfal, behatolás érzékelő, sérülékenység elemző és menedzselt biztonsági technológiák segítségével.
További információ a McAfee Security termékekről: http://www.mcafeesecurity.com/
A Network Associates termékei régóta ismertek és használatosak Magyarországon. 2000 óta a Network Associates képviseleti irodát tart fenn hazánkban.
Megjegyzés: a Network Associates, a Sniffer, a McAfee a Magic Solutions és az AVERT a Network Associates, Inc. és/vagy vállalatai bejegyzett védjegyei az Egyesült Államokban és/vagy más országokban. Az összes többi bejegyzett vagy be nem jegyzett védjegy ebben a közleményben a megfelelő birtokosok kizárólagos tulajdona.
—
PR ügynökség:
Szezám Kommunikációs Kft.
Ügyvezető: dr. Szekfű András
Tel: 438-0650
Fax: 315-1983
szezam@szezam.hu
Nézd meg a legfrissebb cikkeinket a címlapon!
